Lietuvos Respublikos Vyriausybė
nutarimas
DĖL LIETUVOS RESPUBLIKOS VYRIAUSYBĖS 2013 M. LIEPOS 24 D. NUTARIMO NR. 716 „DĖL BENDRŲJŲ ELEKTRONINĖS INFORMACIJOS SAUGOS REIKALAVIMŲ APRAŠO, SAUGOS DOKUMENTŲ TURINIO GAIRIŲ APRAŠO IR ELEKTRONINĖS INFORMACIJOS, SUDARANČIOS VALSTYBĖS INFORMACINIUS IŠTEKLIUS, SVARBOS ĮVERTINIMO IR VALSTYBĖS INFORMACINIŲ SISTEMŲ, REGISTRŲ IR KITŲ INFORMACINIŲ SISTEMŲ KLASIFIKAVIMO GAIRIŲ APRAŠO PATVIRTINIMO“ PAKEITIMO
2018 m. sausio 3 d. Nr. 20
Vilnius
Pakeisti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimą Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“:
1. Pakeisti nurodytu nutarimu patvirtintą Bendrųjų elektroninės informacijos saugos reikalavimų aprašą:
1.1. Pakeisti 5 punktą ir jį išdėstyti taip:
1.2. Pakeisti 7 punkto pirmąją pastraipą ir ją išdėstyti taip:
„7. Informacinės sistemos valdytojas privalo turėti pagal Lietuvos Respublikos Vyriausybės patvirtintą Saugos dokumentų turinio gairių aprašą parengtus, su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, suderintus ir patvirtintus šiuos saugos dokumentus:“.
1.3. Pakeisti 8 punktą ir jį išdėstyti taip:
„8. Aprašo 7.2–7.4 papunkčiuose nurodytus saugos dokumentus (toliau – saugos politiką įgyvendinantys dokumentai) tvirtina informacinės sistemos valdytojas po to, kai patvirtina su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, suderintus Saugos nuostatus. Kai Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 5 punkte nustatytu atveju informacinė sistema steigiama Lietuvos Respublikos Vyriausybės nutarimu, Lietuvos Respublikos Vyriausybė gali priimti ir nutarimą dėl Aprašo 7 punkte nurodytų dokumentų tvirtinimo.“
1.4. Pakeisti 9 punktą ir jį išdėstyti taip:
„9. Krašto apsaugos ministro įgaliotai institucijai, įgyvendinančiai valstybės informacinių išteklių saugos politiką, teikiamus derinti Aprašo 7 punkte nurodytų dokumentų projektus, be rengėjo, turi vizuoti ir informacinės sistemos valdytojo vadovas. Aprašo 8 punkte nurodytu atveju parengtas Lietuvos Respublikos Vyriausybės nutarimo dėl Aprašo 7 punkte nurodytų dokumentų tvirtinimo projektas derinamas Lietuvos Respublikos Vyriausybės darbo reglamento, patvirtinto Lietuvos Respublikos Vyriausybės 1994 m. rugpjūčio 11 d. nutarimu Nr. 728 „Dėl Lietuvos Respublikos Vyriausybės darbo reglamento patvirtinimo“, nustatyta tvarka.“
1.5. Pakeisti 10 punktą ir jį išdėstyti taip:
„10. Krašto apsaugos ministro įgaliota institucija, įgyvendinanti valstybės informacinių išteklių saugos politiką, išvadas, pastabas ir pasiūlymus dėl Aprašo 7 punkte nurodytų dokumentų projektų turi pateikti per 7 darbo dienas, dėl didelės apimties teisės aktų projektų (daugiau kaip 10 puslapių teksto) – per 12 darbo dienų, o dėl pakartotinai pateiktų derinti Aprašo 7 punkte nurodytų dokumentų projektų – per 5 darbo dienas nuo jų gavimo.“
1.6. Pakeisti 13 punktą ir jį išdėstyti taip:
„13. Saugos dokumentai institucijoje turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per metus informacinės sistemos valdytojo vadovo nustatyta tvarka. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) po to, kai atliekamas rizikos įvertinimas ar informacinių technologijų saugos atitikties vertinimas arba institucijoje įvyksta esminių organizacinių, sisteminių ar kitokių pokyčių. Keičiami saugos dokumentai derinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, Aprašo nustatyta tvarka. Keičiami saugos dokumentai gali būti su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, nederinami tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar saugos politikos nekeičiantys pakeitimai arba taisoma teisės technika.“
1.7. Pakeisti 15 punktą ir jį išdėstyti taip:
„15. Patvirtintų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai krašto apsaugos ministro patvirtintų valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.“
1.8. Pakeisti 35 punktą ir jį išdėstyti taip:
„35. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja visų informacinių sistemų rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos įvertinimą. Informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis.“
2. Pakeisti nurodytu nutarimu patvirtintą Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašą:
2.1. Pakeisti 14 punktą ir jį išdėstyti taip:
„14. Informacinės sistemos valdytojas, Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka teikdamas derinti informacinės sistemos duomenų saugos nuostatų projektą krašto apsaugos ministro įgaliotai institucijai, įgyvendinančiai valstybės informacinių išteklių saugos politiką, lydimuosiuose dokumentuose pagrindžia informacinėje sistemoje tvarkomos informacijos priskyrimą konkrečiai svarbos kategorijai, atsižvelgdamas į konkrečios informacinės sistemos ypatumus, sąsajas su kitomis informacinėmis sistemomis ir jų vartotojų interesais.“
2.2. Pakeisti 15 punktą ir jį išdėstyti taip:
„15. Krašto apsaugos ministro įgaliota institucija, įgyvendinanti valstybės informacinių išteklių saugos politiką, derindama informacinės sistemos duomenų saugos nuostatų projektą, įvertina informacinės sistemos valdytojo atliktą informacinėje sistemoje tvarkomos informacijos priskyrimo konkrečiai svarbos kategorijai pagrįstumą ir prireikus pateikia savo išvadas. Krašto apsaugos ministro įgaliota institucija, įgyvendinanti valstybės informacinių išteklių saugos politiką, turi teisę paprašyti papildomos informacijos, pagrindžiančios informacinėje sistemoje tvarkomos informacijos priskyrimą konkrečiai svarbos kategorijai.“
2.3. Pakeisti 16 punktą ir jį išdėstyti taip:
„16. Su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, suderinus informacinėje sistemoje tvarkomos informacijos priskyrimą konkrečiai svarbos kategorijai, informacinėje sistemoje tvarkomos informacijos ir informacinės sistemos svarbos kategorijos nurodomos informacinės sistemos duomenų saugos nuostatuose.“